入侵檢測與防火墻聯(lián)動(dòng)課件

信息安全產(chǎn)品配置與應(yīng)用Configurationand

ApplicationofInformationSecurityProducts重慶電子工程職業(yè)學(xué)院|路亞信息安全產(chǎn)品配置與應(yīng)用重慶電子工程職業(yè)學(xué)院|路亞1網(wǎng)絡(luò)安全狀況

為什么要使用入侵檢測

入侵檢測發(fā)展歷程

入侵檢測工作原理

入侵檢測體系結(jié)構(gòu)

入侵檢測的分類

入侵檢測的典型應(yīng)用入侵檢測的瓶頸和解決辦法入侵檢測與防火墻的聯(lián)動(dòng)入侵檢測與入侵防御模塊三、IDS產(chǎn)品配置與應(yīng)用網(wǎng)絡(luò)安全狀況模塊三、IDS產(chǎn)品配置與應(yīng)用2入侵檢測與防火墻聯(lián)動(dòng)入侵檢測系統(tǒng)與防火墻的聯(lián)動(dòng)是指入侵檢測系統(tǒng)在捕捉到某一攻擊事件后，按策略進(jìn)行檢查，如果策略中對該攻擊事件設(shè)置了防火墻阻斷，那么入侵檢測系統(tǒng)就會(huì)發(fā)給防火墻一個(gè)相應(yīng)的動(dòng)態(tài)阻斷策略，防火墻根據(jù)該動(dòng)態(tài)策略中的設(shè)置進(jìn)行相應(yīng)的阻斷，阻斷的時(shí)間、阻斷時(shí)間間隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵檢測系統(tǒng)發(fā)出的動(dòng)態(tài)策略來執(zhí)行。一般來說，很多情況下，不少用戶的防火墻與IDS并不是同一家的產(chǎn)品，因此在聯(lián)動(dòng)的協(xié)議上面大都遵從opsec協(xié)議（CheckPoint公司）或者topsec協(xié)議(天融信公司)進(jìn)行通信，不過也有某些廠家自己開發(fā)相應(yīng)的通信規(guī)范的。目前總得來說，聯(lián)動(dòng)有一定效果，但是穩(wěn)定性不理想，特別是攻擊者利用偽造的包信息，讓IDS錯(cuò)誤判斷，進(jìn)而錯(cuò)誤指揮防火墻將合法的地址無辜屏蔽掉。入侵檢測與防火墻聯(lián)動(dòng)入侵檢測系統(tǒng)與3IDS與防火墻聯(lián)動(dòng)的工作模型

主機(jī)C主機(jī)D主機(jī)B主機(jī)A受保護(hù)網(wǎng)絡(luò)Internet黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等NGIDS檢測引擎NGIDS控制臺(tái)IDS與防火墻聯(lián)動(dòng)的工作模型主機(jī)C主機(jī)D主機(jī)B主機(jī)4這種阻斷非法鏈接的方式還是有很大的局限性的。整個(gè)從發(fā)現(xiàn)到阻斷的操作需要100毫秒的時(shí)間，這對現(xiàn)代網(wǎng)絡(luò)來說是一個(gè)巨大的時(shí)間窗口，而且它只能針對相同的攻擊的第二次以后的鏈接進(jìn)行阻斷，第一次攻擊還是會(huì)放行的。因此比如說單個(gè)數(shù)據(jù)包的攻擊，類似于Slammer(單個(gè)UDP數(shù)據(jù)報(bào))的攻擊，就無法進(jìn)行阻斷，因?yàn)檫@種攻擊方式它只對同一個(gè)目的地址發(fā)送一次攻擊數(shù)據(jù)包。這種阻斷非法鏈接的方式還是有很大的5

網(wǎng)絡(luò)安全狀況

為什么要使用入侵檢測

入侵檢測發(fā)展歷程

入侵檢測工作原理

入侵檢測體系結(jié)構(gòu)

入侵檢測的分類

入侵檢測的典型應(yīng)用入侵檢測的瓶頸和解決辦法入侵檢測與防火墻的聯(lián)動(dòng)入侵檢測與入侵防御模塊三、IDS產(chǎn)品配置與應(yīng)用網(wǎng)絡(luò)安全狀況模塊三、IDS產(chǎn)品配置與應(yīng)用6入侵防御的定義IPS——IntrusionPreventionSystem，即入侵防御系統(tǒng)，有時(shí)又稱IDP（IntrusiondetectionandPrevention），即入侵檢測和防御系統(tǒng)，指具備IDS的檢測能力，并在線部署在網(wǎng)絡(luò)的進(jìn)出口處，具備實(shí)時(shí)阻斷網(wǎng)絡(luò)入侵的安全技術(shù)設(shè)備。IPS是一種主動(dòng)的、積極的入侵檢測、防御系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS的主要作用就是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)和(或)系統(tǒng)活動(dòng),它能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。通過深達(dá)第七層的流量偵測，能夠在發(fā)生損失之前阻斷惡意流量。入侵防御的定義IPS——IntrusionPreventi7那么為什么需要IPS呢？因?yàn)閭鹘y(tǒng)防火墻的局限性。表現(xiàn)為以下幾點(diǎn)：1.防火墻不能防止合法開發(fā)的端口的攻擊；2.防火墻一般不檢測和攔截到來自內(nèi)部的攻擊；3.防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊；4.防火墻不具有專業(yè)的防病毒功能。BackOrifice-31337HTTP-80Nimda/P2PFTP-21SMTP-25BackOrifice-31337那么為什么需要IPS呢？因?yàn)閭鹘y(tǒng)防火墻的局限性。表現(xiàn)為以下幾8IDS與防火墻的聯(lián)動(dòng)無法達(dá)到理想的效果，整個(gè)聯(lián)動(dòng)阻斷操作要花100毫秒的時(shí)間，這對現(xiàn)代的網(wǎng)絡(luò)來說是一個(gè)巨大的時(shí)間窗口,而且不能阻擋類似于Slammer(單個(gè)UDP數(shù)據(jù)報(bào))的攻擊。IDS與防火墻的聯(lián)動(dòng)無法達(dá)到理想的效果，整個(gè)聯(lián)動(dòng)阻斷操作要花9IDS與IPS的分工IPS與IDS分工各有側(cè)重，適合于不同的安全策略。IDS非常適合于網(wǎng)絡(luò)攻擊的監(jiān)控和安全威脅的告警，可以部署在任何關(guān)鍵區(qū)域或敏感網(wǎng)段中，實(shí)時(shí)監(jiān)控和保護(hù)該網(wǎng)段的安全運(yùn)行狀態(tài)，特別適合于檢測內(nèi)網(wǎng)中的攻擊或非法事件。而IPS能夠?qū)崟r(shí)阻斷網(wǎng)絡(luò)蠕蟲病毒、拒絕服務(wù)攻擊（DOS）等多種攻擊事件。適合于串行部署在網(wǎng)關(guān)位置，防止攻擊進(jìn)入內(nèi)網(wǎng)。IDS與IPS的分工IPS與IDS10IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)DS非常適合于網(wǎng)絡(luò)攻擊的監(jiān)控和安全威脅的告警，但是它的被動(dòng)模式限制打開了IPS作為主動(dòng)型防御武器與之競爭的大門。IDSIDS：用于檢測網(wǎng)絡(luò)中可疑行為的軟件與硬件的組合。IDSIDS系統(tǒng)的主要作用：實(shí)時(shí)檢測、告警和安全審計(jì)。IDS優(yōu)勢：可以部署在任何關(guān)鍵區(qū)域或敏感網(wǎng)段中，實(shí)時(shí)監(jiān)控和保護(hù)該網(wǎng)段的安全運(yùn)行狀態(tài)。特別適合于檢測內(nèi)網(wǎng)中的攻擊或非法事件。IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)DS非常適合于網(wǎng)11IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)PSIPS：能夠檢測并主動(dòng)阻斷網(wǎng)絡(luò)中可疑行為的硬件和/或軟件。IPSIPS優(yōu)勢：能夠?qū)崟r(shí)阻斷網(wǎng)絡(luò)蠕蟲病毒、拒絕服務(wù)攻擊（DOS）等多種攻擊事件。適合于串行部署在網(wǎng)關(guān)位置，防止攻擊進(jìn)入內(nèi)網(wǎng)。與IDS的主要區(qū)別在于：串行（in-line）工作和自動(dòng)阻斷。與IDS分工各有側(cè)重，適合于不同的安全策略，將并存于市場，為用戶提供全面的安全保障。IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)PSIPS：能夠12未來發(fā)展IPS也和IDS一樣也存在技術(shù)上的難點(diǎn)。比如，單點(diǎn)故障問題，設(shè)計(jì)要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中，而這就可能造成瓶頸問題或單點(diǎn)故障。如果IPS出現(xiàn)故障而關(guān)閉，用戶就會(huì)面對一個(gè)由IPS造成的拒絕服務(wù)問題，所有客戶都將無法訪問企業(yè)網(wǎng)絡(luò)提供的應(yīng)用；性能瓶頸問題，IPS設(shè)備可能是一個(gè)潛在的網(wǎng)絡(luò)瓶頸，它必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步，尤其是當(dāng)加載了數(shù)量龐大的檢測特征庫時(shí)，設(shè)計(jì)不夠完善的IPS設(shè)備無法支持這種響應(yīng)速度，不僅會(huì)增加滯后時(shí)間，而且會(huì)降低網(wǎng)絡(luò)的效率。誤報(bào)和漏報(bào)問題，IPS的檢測原理與IDS相同，如果不能避免“誤報(bào)”，則合法流量也有可能被意外攔截，而IPS一旦攔截了一個(gè)“攻擊性”數(shù)據(jù)包，就會(huì)對來自可疑攻擊者的所有數(shù)據(jù)流進(jìn)行攔截。如果觸發(fā)了誤報(bào)警報(bào)的流量恰好是某個(gè)客戶訂單的一部分，其結(jié)果可想而知：這個(gè)客戶整個(gè)會(huì)話就會(huì)被關(guān)閉，而且此后該客戶重新發(fā)起的所有訪問請求都會(huì)被“盡職盡責(zé)”的IPS攔截。不過隨著技術(shù)不斷的完善IPS，IDS都會(huì)越來越成熟，應(yīng)用范圍也會(huì)越來越廣。未來發(fā)展IPS也和IDS一樣也存在技術(shù)上的難點(diǎn)。比如，單點(diǎn)故13謝謝！謝謝！14信息安全產(chǎn)品配置與應(yīng)用Configurationand

ApplicationofInformationSecurityProducts重慶電子工程職業(yè)學(xué)院|路亞信息安全產(chǎn)品配置與應(yīng)用重慶電子工程職業(yè)學(xué)院|路亞15網(wǎng)絡(luò)安全狀況

為什么要使用入侵檢測

入侵檢測發(fā)展歷程

入侵檢測工作原理

入侵檢測體系結(jié)構(gòu)

入侵檢測的分類

入侵檢測的典型應(yīng)用入侵檢測的瓶頸和解決辦法入侵檢測與防火墻的聯(lián)動(dòng)入侵檢測與入侵防御模塊三、IDS產(chǎn)品配置與應(yīng)用網(wǎng)絡(luò)安全狀況模塊三、IDS產(chǎn)品配置與應(yīng)用16入侵檢測與防火墻聯(lián)動(dòng)入侵檢測系統(tǒng)與防火墻的聯(lián)動(dòng)是指入侵檢測系統(tǒng)在捕捉到某一攻擊事件后，按策略進(jìn)行檢查，如果策略中對該攻擊事件設(shè)置了防火墻阻斷，那么入侵檢測系統(tǒng)就會(huì)發(fā)給防火墻一個(gè)相應(yīng)的動(dòng)態(tài)阻斷策略，防火墻根據(jù)該動(dòng)態(tài)策略中的設(shè)置進(jìn)行相應(yīng)的阻斷，阻斷的時(shí)間、阻斷時(shí)間間隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵檢測系統(tǒng)發(fā)出的動(dòng)態(tài)策略來執(zhí)行。一般來說，很多情況下，不少用戶的防火墻與IDS并不是同一家的產(chǎn)品，因此在聯(lián)動(dòng)的協(xié)議上面大都遵從opsec協(xié)議（CheckPoint公司）或者topsec協(xié)議(天融信公司)進(jìn)行通信，不過也有某些廠家自己開發(fā)相應(yīng)的通信規(guī)范的。目前總得來說，聯(lián)動(dòng)有一定效果，但是穩(wěn)定性不理想，特別是攻擊者利用偽造的包信息，讓IDS錯(cuò)誤判斷，進(jìn)而錯(cuò)誤指揮防火墻將合法的地址無辜屏蔽掉。入侵檢測與防火墻聯(lián)動(dòng)入侵檢測系統(tǒng)與17IDS與防火墻聯(lián)動(dòng)的工作模型

主機(jī)C主機(jī)D主機(jī)B主機(jī)A受保護(hù)網(wǎng)絡(luò)Internet黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等NGIDS檢測引擎NGIDS控制臺(tái)IDS與防火墻聯(lián)動(dòng)的工作模型主機(jī)C主機(jī)D主機(jī)B主機(jī)18這種阻斷非法鏈接的方式還是有很大的局限性的。整個(gè)從發(fā)現(xiàn)到阻斷的操作需要100毫秒的時(shí)間，這對現(xiàn)代網(wǎng)絡(luò)來說是一個(gè)巨大的時(shí)間窗口，而且它只能針對相同的攻擊的第二次以后的鏈接進(jìn)行阻斷，第一次攻擊還是會(huì)放行的。因此比如說單個(gè)數(shù)據(jù)包的攻擊，類似于Slammer(單個(gè)UDP數(shù)據(jù)報(bào))的攻擊，就無法進(jìn)行阻斷，因?yàn)檫@種攻擊方式它只對同一個(gè)目的地址發(fā)送一次攻擊數(shù)據(jù)包。這種阻斷非法鏈接的方式還是有很大的19

網(wǎng)絡(luò)安全狀況

為什么要使用入侵檢測

入侵檢測發(fā)展歷程

入侵檢測工作原理

入侵檢測體系結(jié)構(gòu)

入侵檢測的分類

入侵檢測的典型應(yīng)用入侵檢測的瓶頸和解決辦法入侵檢測與防火墻的聯(lián)動(dòng)入侵檢測與入侵防御模塊三、IDS產(chǎn)品配置與應(yīng)用網(wǎng)絡(luò)安全狀況模塊三、IDS產(chǎn)品配置與應(yīng)用20入侵防御的定義IPS——IntrusionPreventionSystem，即入侵防御系統(tǒng)，有時(shí)又稱IDP（IntrusiondetectionandPrevention），即入侵檢測和防御系統(tǒng)，指具備IDS的檢測能力，并在線部署在網(wǎng)絡(luò)的進(jìn)出口處，具備實(shí)時(shí)阻斷網(wǎng)絡(luò)入侵的安全技術(shù)設(shè)備。IPS是一種主動(dòng)的、積極的入侵檢測、防御系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS的主要作用就是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)和(或)系統(tǒng)活動(dòng),它能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。通過深達(dá)第七層的流量偵測，能夠在發(fā)生損失之前阻斷惡意流量。入侵防御的定義IPS——IntrusionPreventi21那么為什么需要IPS呢？因?yàn)閭鹘y(tǒng)防火墻的局限性。表現(xiàn)為以下幾點(diǎn)：1.防火墻不能防止合法開發(fā)的端口的攻擊；2.防火墻一般不檢測和攔截到來自內(nèi)部的攻擊；3.防火墻無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊；4.防火墻不具有專業(yè)的防病毒功能。BackOrifice-31337HTTP-80Nimda/P2PFTP-21SMTP-25BackOrifice-31337那么為什么需要IPS呢？因?yàn)閭鹘y(tǒng)防火墻的局限性。表現(xiàn)為以下幾22IDS與防火墻的聯(lián)動(dòng)無法達(dá)到理想的效果，整個(gè)聯(lián)動(dòng)阻斷操作要花100毫秒的時(shí)間，這對現(xiàn)代的網(wǎng)絡(luò)來說是一個(gè)巨大的時(shí)間窗口,而且不能阻擋類似于Slammer(單個(gè)UDP數(shù)據(jù)報(bào))的攻擊。IDS與防火墻的聯(lián)動(dòng)無法達(dá)到理想的效果，整個(gè)聯(lián)動(dòng)阻斷操作要花23IDS與IPS的分工IPS與IDS分工各有側(cè)重，適合于不同的安全策略。IDS非常適合于網(wǎng)絡(luò)攻擊的監(jiān)控和安全威脅的告警，可以部署在任何關(guān)鍵區(qū)域或敏感網(wǎng)段中，實(shí)時(shí)監(jiān)控和保護(hù)該網(wǎng)段的安全運(yùn)行狀態(tài)，特別適合于檢測內(nèi)網(wǎng)中的攻擊或非法事件。而IPS能夠?qū)崟r(shí)阻斷網(wǎng)絡(luò)蠕蟲病毒、拒絕服務(wù)攻擊（DOS）等多種攻擊事件。適合于串行部署在網(wǎng)關(guān)位置，防止攻擊進(jìn)入內(nèi)網(wǎng)。IDS與IPS的分工IPS與IDS24IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)DS非常適合于網(wǎng)絡(luò)攻擊的監(jiān)控和安全威脅的告警，但是它的被動(dòng)模式限制打開了IPS作為主動(dòng)型防御武器與之競爭的大門。IDSIDS：用于檢測網(wǎng)絡(luò)中可疑行為的軟件與硬件的組合。IDSIDS系統(tǒng)的主要作用：實(shí)時(shí)檢測、告警和安全審計(jì)。IDS優(yōu)勢：可以部署在任何關(guān)鍵區(qū)域或敏感網(wǎng)段中，實(shí)時(shí)監(jiān)控和保護(hù)該網(wǎng)段的安全運(yùn)行狀態(tài)。特別適合于檢測內(nèi)網(wǎng)中的攻擊或非法事件。IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)DS非常適合于網(wǎng)25IDS的發(fā)展趨勢—與IPS分別承擔(dān)不同角色I(xiàn)PSIPS：能夠檢測并主動(dòng)阻斷網(wǎng)絡(luò)中可疑行為的硬件和/或軟件。IPSIPS優(yōu)勢：能夠?qū)崟r(shí)阻斷網(wǎng)絡(luò)蠕蟲病毒、拒絕服務(wù)攻擊（DO